本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
SMS 和電子郵件訊息 MFA
SMS 和MFA電子郵件訊息確認使用者可以先存取訊息目的地,然後才能登入。他們確認他們不僅可以存取密碼,還可以存取原始使用者SMS的訊息或電子郵件收件匣。Amazon Cognito 會要求使用者提供簡短的程式碼,在使用者集區成功提供使用者名稱和密碼後傳送該程式碼。
SMS 和電子郵件訊息在使用者將電子郵件地址或電話號碼新增至其設定檔之後MFA,不需要額外的組態。Amazon Cognito 可以將訊息傳送至未經驗證的電子郵件地址和電話號碼。當使用者完成第一個 時MFA,Amazon Cognito 會將電子郵件地址或電話號碼標記為已驗證。
MFA 當使用 的使用者在應用程式中MFA輸入使用者名稱和密碼時,身分驗證就會開始。您的應用程式會以叫用 InitiateAuth或 AdminInitiateAuthAPI請求SDK的方法提交這些初始參數。API 回應ChallengeParameters中的 包含一個CODE_DELIVERY_DESTINATION值,指出授權碼的傳送位置。在您的應用程式中,顯示提示使用者檢查其電話的表單,並包含程式碼的輸入元素。當他們輸入程式碼時,請在挑戰回應API請求中提交,以完成登入程序。
在託管 UI 中使用使用者名稱和密碼MFA登入的使用者之後,系統會自動提示他們輸入MFA程式碼。
使用者集區會使用 中的 Amazon Simple Notification Service (Amazon SNS) 資源來SMS傳送訊息給 MFA和其他 Amazon Cognito 通知 AWS 帳戶。 Amazon Cognito 同樣地,使用者集區會使用帳戶中的 Amazon Simple Email Service (AmazonSES) 資源傳送電子郵件訊息。這些連結的服務會在您的訊息交付 AWS 帳單上產生自己的成本。他們也有在生產磁碟區傳送訊息的其他要求。如需詳細資訊,請參閱下列連結:
SMS 和電子郵件訊息的考量 MFA
-
若要允許使用者使用電子郵件 登入MFA,您的使用者集區必須具有下列組態選項:
-
進階安全功能已啟用。如需詳細資訊,請參閱使用者集區進階安全功能。
-
您的使用者集區會使用您自己的 Amazon SES 資源傳送電子郵件訊息。如需詳細資訊,請參閱Amazon SES電子郵件組態。
-
-
此MFA程式碼在您為應用程式用戶端設定的身分驗證流程工作階段持續時間有效。
當您在 App clients and analytics (應用程式用戶端和分析) 下修改應用程式用戶端時,可在 Amazon Cognito 主控台的 App integration (應用程式整合) 索引標籤中設定驗證流程工作階段的持續時間。您也可以在
CreateUserPoolClient或UpdateUserPoolClientAPI請求中設定身分驗證流程工作階段持續時間。如需詳細資訊,請參閱使用者集區身分驗證流程。 -
當使用者成功提供來自 SMS或電子郵件訊息的代碼,而 Amazon Cognito 傳送至未驗證的電話號碼或電子郵件地址時,Amazon Cognito 會將對應的屬性標記為已驗證。
-
使用者無法使用其存取權杖來變更與 相關聯的電話號碼或電子郵件地址的值MFA。您的團隊必須使用AdminUpdateUserAttributesAPI請求中的管理員 AWS 憑證來變更這些值。
-
對於使用者對與 相關聯的電話號碼或電子郵件地址值進行自助變更MFA,他們必須登入並使用存取權杖授權請求。如果他們無法存取目前的電話號碼或電子郵件地址,就無法登入。您的團隊必須使用AdminUpdateUserAttributesAPI請求中的管理員 AWS 憑證來變更這些值。
-
在使用者集區中設定 SMS 之後,您就無法停用SMS訊息做為可用MFA因素。
